AUDITORÍAS INTEGRADAS: SITUACIÓN ACTUAL EN ...En 2012, un consultor independiente presenta en la conferencia de auditoría, control y seguridad de computación (CACS, por sus siglas

17

AUDITORÍAS INTEGRADAS: SITUACIÓN ACTUAL EN NICARAGUA

INTEGRATED AUDITS: CURRENT SITUATION IN NICARAGUA

Davis A. Porras Rodríguez1, CISA, CISM

Instituto de Auditores Internos de Nicaragua (IAIN)

Edificio Conapro, Rotonda El Gueguense 4c al Norte, 1c al Oeste

E-mail: [email protected] ; [email protected]

(recibido/received: 12-Febrero-2014; aceptado/accepted: 28-Junio-2014)

RESUMEN

Las auditorias integradas han emergido con rapidez en las diferentes unidades de auditoría por los

beneficios que brinda a las organizaciones. Instituciones que regulan la profesión de auditoria y directivos

de diferentes organizaciones comenzaron a recomendar el enfoque integrado en las revisiones para que se

evaluara holísticamente los riesgos y controles de los procesos de negocio. A través de una encuesta

estructurada se conoció el estado del arte de las auditorias integradas en Nicaragua; Esta encuesta se

diseñó bajo la referencia teórica de la Asociación de Auditoría y Control de Sistemas de Información

(ISACA, por sus siglas en inglés). Se detectaron varias prácticas que fueron categorizadas bajo un enfoque

integral y no integrado, sin embargo, la investigación aportó información para esclarecer ambos términos

y así los profesionales de auditoria pueden realizar los ajustes pertinentes en sus procesos internos y

mantener el enfoque integrado. Se propuso un nuevo concepto de auditoria integrada, de tal manera que

sirva como referencia para lograr el enfoque integrado.

Palabras claves: Auditoria Integrada; Riesgos; Controles; Metodologías; Estado del Arte

ABSTRACT

Integrated audits have quickly emerged in the different audit’s units because of the benefits it provides to

organizations. Institutions that regulate the profession of auditing and senior management of different

organizations began recommending integrated approach in order to evaluate with holistic approach all

business processes’ risks and controls. The estate of the art of integrated audits was known through a

structured survey, which was based on the theory established by the Information Systems Audit and

Control Association (ISACA). Some activities were categorized under an integral approach, not integrated

as expected, however, the research provides information in order to clarify both terms; Based on this

clarification, many audit’s professionals can make adjustments to their internal processes and maintain the

integrated approach. A new integrated audit concept was proposed in order to act as a reference to achieve

the integrated approach.

Keywords: Integrated Audit; Risks; Controls; Methodologies; State of the Art

1 Autor para la correspondencia

Vol. 27, No. 01, pp.17-33/Junio 2014

ISSN-E 1995-9516

Copyright © 2014 Universidad Nacional de Ingeniería

Todos los derechos reservados

http://revistas.uni.edu.ni/index.php/Nexo

mailto:[email protected]

mailto:[email protected]

http://revistas.uni.edu.ni/index.php/Nexo

Davis A. Porras Rodríguez, CISA, CISM

18 Nexo Revista Científica Vol. 27, No. 01, pp. 17-33/Junio 2014

INTRODUCCIÓN

El concepto de auditoría integrada ha venido emergiendo y cambiando radicalmente la forma en que son

consideradas las auditorías por las diferentes partes interesadas. La Asociación de Auditoría y Control de

Sistemas de Información (ISACA, por sus siglas en inglés) refleja en sus publicaciones que la auditoría

integrada puede definirse como el proceso por el cual se combinan las disciplinas apropiadas de auditoría

para evaluar los controles internos clave de una operación, un proceso o una entidad. [4]

Aunque pueden existir varias definiciones de auditoría integrada, lo más importante es garantizar que el

enfoque integrado se concentre en el riesgo, abarcando de esta manera riesgos operacionales, tecnológicos,

financieros, regulatorios, cumplimiento, de imagen y/o reputación, fraude, entre otros. Esto, es un reto

para las unidades de auditoría dado que la visión más holística de una auditoría integrada requiere que el

auditor modifique su perspectiva y piense más allá del alcance de una auditoria tradicional.

Una auditoría integrada mal orientada conlleva al equipo de auditores a brindar aseveraciones incorrectas,

pueden dar la apariencia de un equipo desconectado al proveer diferentes declaraciones sobre el mismo

control ó el impacto en la deficiencia del control, siendo una de las causas de esta situación, un falso

concepto de auditoría integrada. En una auditoria integrada, no hay 2 o más equipos distintos de auditoría,

sino un solo equipo con objetivos asignados distintos. [2]

Fig. 1 Enfoque integrado de auditoria

Durante casi dos décadas, miembros de la profesión de auditoría han hablado de auditorías con un enfoque

integrado, sobre las ventajas que trae a una organización y de cuáles son los pasos necesarios para

llevarlas a cabo. Sin embargo, después de tantos años de diálogo, solamente ha emergido un consenso

general de la necesidad de este tipo de auditorías. Pocos profesionales de auditoría podrían estar en contra

de implantar metodologías integradas en sus unidades de auditoría y de reconocer que es la manera más

eficaz de llevar a cabo una auditoría. [3]

Es comúnmente conocido de la existencia de marcos de referencia, estándares y mejores prácticas que

pueden apoyar la labor de auditoría y ser integrados en metodologías o guías prácticas para que los

auditores realicen sus evaluaciones internas y que posiblemente no estén siendo aprovechadas en las

distintas organizaciones.



En 2012, un consultor independiente presenta en la conferencia de auditoría, control y seguridad de

computación (CACS, por sus siglas en ingles) de ISACA, una metodología de auditoría integrada de TI

con enfoque en procesos basándose en los requerimientos de los estándares ISO 9001 e ISO 27001, con el

propósito de asegurar y demostrar el cumplimiento con los requerimientos contractuales y regulatorios de

TI. La metodología propuesta trata de medir la efectividad del proceso auditado para no enfocarse solo en

cumplimiento ó aplicar una lista de verificación, sin embargo, esto se orienta para procesos de TI y se

desconoce su aplicación para auditorias integradas que sobrepasan el área de TI. [1]

En enero del 2012, el Instituto de Auditores Internos (IIA) global a través de su centro de investigación

publica sobre la historia, evolución y perspectivas de la auditoria interna e indica que los auditores del

siglo 21 deben estar preparados para auditar virtualmente todo, lo que significa que deben abarcar las

operaciones, el rendimiento, la información, sistemas, cumplimiento legal, estados financieros, fraude,

calidad, entre otros, reforzando pláticas anteriores alrededor del enfoque integrado. [5]

En julio del 2012, el IIA también publica una guía práctica para auditorías integradas en donde explica

porque es necesario contar con una metodología, como se puede crear un plan de trabajo integrado y

conducir una auditoria integrada. También, refleja que la adopción de un enfoque de auditoría integrada

puede aumentar la credibilidad de la actividad de auditoría interna, lo que resulta en una mayor pertinencia

de su trabajo y una mayor oportunidad de ser visto como un participante esencial en grandes proyectos

desde el principio en una organización. [6]

Las unidades de auditoria que no practican el enfoque integrado se ven forzadas a presentar resultados

parciales sobre las evaluaciones que realizan a los procesos del negocio ya que no ya evalúan

holísticamente los riesgos del mismo afectando así la imagen y/o credibilidad de su unidad. También, no

optimizan los recursos de auditoria al trabajar los auditores aislados en sus campos de especialización sin

poner en práctica la inter-relación de los recursos. Por lo tanto, la pregunta de investigación baja la cual se

desarrolla el presente trabajo es: “¿Cómo se realizan las auditorias integradas en Nicaragua?”

El objetivo del presente trabajo de investigación se centra en proveer una visión clara de la situación actual

de las auditorias integradas en Nicaragua bajo las características teóricas de ISACA, aportando los

beneficios y problemas que han tenido los auditores participes en este tipo de auditoría y las intenciones

futuras de las unidades de auditoria.

El presente estudio se justifica en los lineamientos del Instituto de Auditores Internos a nivel Global,

quienes han expresado en el año 2012, su interés en que las unidades de auditoria interna comience a

considerar en sus planes de auditorías el enfoque integrado. También, es necesario conocer los problemas

comunes en este proceso para que futuras investigaciones den solución a los mismos, ya que hoy en día, el

enfoque integrado en las auditorias es considerado como un tema emergente.

TEORIA

La dependencia de los procesos de negocio en la tecnología de información ha requerido que los auditores

financieros y operativos tradicionales comprendan las estructuras de control de TI y que los auditores de

TI comprendan las estructuras de control del negocio.

Para conocer la situación actual del enfoque integrado, el presente estudio se basa en las características

típicamente observables en el proceso de auditoria integrada definido por ISACA, estas características son

[4]:

Identificación de los riesgos que enfrenta la organización para el área que está siendo auditada.

Identificación de los controles clave relevantes.

Revisión y comprensión del diseño de los controles clave.



Comprobación de que los controles clave están respaldados por el sistema de TI.

Comprobación de que los controles de la gerencia son efectivos.

Un informe u opinión combinada sobre riesgos, diseño y debilidades de los controles.

A partir de las características antes mencionadas que típicamente se pueden observar en el proceso de

auditoría integrada, se construye el instrumento encuesta para conocer como los profesionales de auditoria

están implementando el enfoque integrado. Por ejemplo, a partir de la característica “Identificación de los

riesgos que enfrenta la organización para el área que está siendo auditada”, se determinaron preguntas

para conocer:

a) quienes participan en la etapa de identificación de riesgos,

b) cuál es el procedimiento que siguen para identificar los riesgos,

c) si indagan en bases de datos históricas para identificar riesgos materializados,

d) la categorización que le dan a los riesgos identificados,

e) entre otros.

Diferenciando el Enfoque Integrado

En muchas ocasiones se cree que una "Auditoria Integral" es también una "Auditoria Integrada". En el

campo de auditoría el término integral se refiere a un todo el cual puede o no tener un enfoque integrado,

sin embargo, el término integrado podría abarcar el todo pero de una manera más eficiente.

Típicamente las auditorías externas ya sea por firmas consultoras o entes reguladores realizan una

auditoría integral y no integrada ya que su especialista en TI abarca los riesgos tecnológicos, el de PLD/FT

cubre los riesgos relacionados con lavado de dinero, otro se encargará de los riesgos crediticios y así

sucesivamente, sin embargo, estos nunca se comunican e inter-relacionan hasta el momento de consolidar

los resultados de su evaluación aislada para presentar un solo informe de auditoría a la institución que

brindan el servicio.

Fig. 2 Enfoque integral de auditoria

Para que la auditoria tenga un enfoque integrado, en las distintas actividades y/o fases de la auditoria se

debe apreciar un trabajado coordinado y en conjunto del equipo de auditores. Por ejemplo, los riesgos

deben ser evaluados por todo el equipo de especialistas que participan en la auditoria con el fin de lograr



con visión holística una valoración adecuada sobre los riesgos y dar prioridad en la auditoria a los riesgos

realmente significativos y que impactarían de realizarse negativamente al negocio.

Se podría decir que es más fácil, rápido y práctico que una unidad de auditoria interna adopte un enfoque

integrado en sus evaluaciones a que los auditores externos lo hagan. Sin embargo, una auditoria con

enfoque integrado se puede llevar a cabo indistintamente si es alguien interno o externo a la organización,

lo importante es lograr esa comunicación, coordinación e integración del equipo de trabajo en las distintas

actividades y/o fases de la auditoria para evitar duplicidad de esfuerzo y una inadecuada valoración de los

riesgos, por lo que el supervisor de auditoria tiene que jugar un papel mucho más activo e ir más allá de lo

tradicional en las auditorias en donde por ejemplo, el especialista en prevención de lavado de dinero es el

único que puede opinar en la evaluación de riesgos PLD/FT cuando muchos de estos están vinculados con

riesgos tecnológicos, riesgos crediticios, otros.

METODOLOGIA

Diseño de la Investigación

El diseño de investigación es de tipo EXPLORATORIO-DESCRIPTIVO ya que se pretende mostrar las

características del proceso de auditoria integrada, así como los problemas y beneficios de su

implementación. Durante la revisión de literatura, no se encontraron referencias de estudios similares

anteriores, infiriendo por ser un tema poco estudiado y emergente en la profesión de auditoria.

Población y Muestra

La población de esta investigación cuantitativa son las unidades de auditoria interesadas en ejecutar o que

ejecutan auditorias integradas a nivel nacional. La muestra para aplicar el instrumento de recolección de

datos son 30 profesionales afiliados al Instituto de Auditores Internos de Nicaragua (IAIN), órgano

profesional por excelencia dedicado a la promoción y desarrollo de la práctica de la auditoria en

Nicaragua.

El IAIN es un órgano sin fines de lucro que ha acaparado a través de los años alrededor de 200

profesionales de auditoria interna, externa, contraloría, entes reguladores nacionales, entre otros, sin

mencionar el estado de su membresía; Si bien es cierto que el IAIN no ha sido constituido a través de una

ley nacional como si lo ha hecho por ejemplo el Colegio de Contadores Públicos de Nicaragua (CCPN),

este instituto ha representado a Nicaragua ante el mundo en temas de auditoria al contar con la afiliación y

emisión de prácticas que se derivan del Instituto de Auditores Internos (IIA) a nivel global, siendo a nivel

nacional su principal aliado en temas de auditoria.

El tipo de muestreo que se va utilizar en esta investigación es de “Muestra Teórica” antes de recolectar

datos ya que se pretende explorar el concepto de auditoria integrada por ser un tema emergente en la

profesión de auditoria.

Instrumento de Medición

El instrumento utilizado para recopilar información general sobre el estado de las auditorías integradas en

las unidades de auditoría de Nicaragua fue a través de encuesta. Se utilizaron preguntas cerradas con

opciones abiertas dirigidas a los diferentes actores de las unidades de auditoría para conocer la opinión o

percepciones de los diversos miembros en diferentes niveles jerárquicos.

El medio utilizado para aplicar el instrumento fue a través de Internet, a través del sitio Web

SurveyMonkey, con una cuenta plus que permite implantar lógica de exclusión, seguridad y recopilación



de datos por diferentes canales. Entre las medidas de seguridad implantadas en la configuración de la

encuesta tenemos:

Admitir una sola respuesta por computador.

Una vez completada la encuesta, el encuestado no podrá retomar la misma.

Aseguramiento de la encuesta y las respuestas entre SurveyMonkey y el encuestado por medio de

cifrado SSL.

Almacenamiento de la dirección IP del encuestado en los resultados de la encuesta.

Establecimiento de periodo de tiempo para responder la encuesta, del 13 al 31 de Enero de 2014.

La difusión dela encuesta se coordinó con el Instituto de Auditores Internos de Nicaragua (IAIN), quienes

utilizaron correos masivos, redes sociales y sitio web para promocionar la investigación. Esto se realiza a

partir del apoyo y acuerdo obtenido con el presidente de la junta directiva del IAIN el 13 de enero de

2014, el Sr. Elías Martínez y que se resume a continuación:

Realizar la encuesta en nombre del IAIN.

Co-autoría sobre el artículo a escribir sobre los resultados.

Uso del logo del IAIN en la encuesta y artículo sobre los resultados.

Publicación de los resultados al menos en una revista de circulación nacional.

Revisión de los resultados por medio del IAIN previo a publicación.

Divulgación de la encuesta electrónica a la membresía del IAIN.

Los datos fuentes de los resultados quedan a disposición del IAIN quienes pueden utilizarlos de

manera total o parcial.

El instrumento de medición alcanza la confiabilidad cuantitativa dado que los resultados que se presentan

se basan en estadística descriptiva al mostrar los porcentajes de respuestas recopilados al aplicar el

instrumento. En la interpretación de los resultados se evita que las creencias y opiniones del investigador

afecten la coherencia de los datos presentados, el investigador no establecerá conclusiones antes que los

datos sean analizados y hayan considerado en su totalidad.

RESULTADOS Y DISCUSIÓN

Los resultados que se presentan a continuación fueron revisados por un experto independiente al que llevo

a cabo la investigación, con experiencia en temas de auditoria y miembro del Instituto de Auditores

Internos de Nicaragua (IAIN).

En relación a los datos de los participantes en la encuesta, la población total fue de 30 participantes

distribuidos de la siguiente manera: 50% tiene más de 9 años de experiencia en la profesión de auditoria,

el 16.67% entre 6 y 8 años, el 30% entre 3 y 5 años y solo un 3.33% menos de 2 años. En la siguiente

tabla, se puede apreciar el nivel de responsabilidad de los encuestados.

Tabla 1. Responsabilidades de los participantes

Posición Porcentaje

Alto Ejecutivo 36.67%

Mando Intermedio 16.67%

Personal de Campo 46.67%

La categoría de “Alto Ejecutivo” engloba las respuestas de Socios, Directores, Gerentes y Vice-Gerentes,

mientras que los Jefes, Coordinadores y Supervisores pertenecen a la de “Mando Intermedio”. La

categoría de “Personal de Campo” es representada por los auditores de nivel Senior, Junior o Asistentes



incluyendo todas las especializaciones. Si combinamos los porcentajes de las categorías de Alto Ejecutivo

y Mando Intermedio, obtenemos casi un 53.34% de participantes con responsabilidades de supervisión en

el campo de auditoria.

La participación del sector empresarial en la encuesta fue del sector financiero (46.67%), agroindustrial

(13.33%), manufactura y de servicios (6.67% c/u) y comercial, consultoría y telecomunicaciones (3.33%

c/u). El sector financiero engloba a empresas bancarias, de seguros, puestos de bolsa, administradores de

inversiones, entre otros, siendo este, un sector regulado con mayores exigencias en el campo de auditoria.

En el siguiente gráfico se pueden apreciar las áreas de especialización de los participantes de la encuesta,

en la que las áreas financieras / contables, de cumplimiento y procesos se encuentran entre un 66.67% y

73.33% de los participantes, seguido por un 46.67% el área de sistemas de información o TI. La categoría

de “Otros” engloba las áreas de fraude, operaciones y crédito, seguridad ambiental y riesgos, control y

gobierno corporativo.

Fig. 3 Especialización de los participantes

Las unidades de trabajo de los participantes de la encuesta indicaron estar compuestos de la siguiente

manera:

Un 43.33% tiene al menos 3 tipos de especialidades de auditoria, siendo la combinación

Contable/Financiero, Sistemas/TI junto con Procesos, Cumplimiento u Operativo la más

mencionada.

El 56.67% restante de los participantes indicó tener 2 o menos tipos de especialidades.

Las especialidades que más se mencionan entre los participantes es la de Sistemas/TI (56.67%),

Contable/Financiero (50.00%) y Procesos (40.00%). Un igual porcentaje al de procesos indicó

tener auditores sin nombrarlos con especialidad alguna.

El 43.33% que tiene al menos 3 tipos de especialidades garantiza tener un ambiente propicio para ejecutar

auditorias integradas, lo cual es confirmado por ellos mismos en un 84.62% al ser consultados si en sus

unidades de trabajo realizan auditorias integradas. El porcentaje global que indicó practicar auditorias

integradas en la encuesta es de un 63.33%, sin embargo, en este porcentaje se incluye un 47.06% de la

población que indicó tener 2 o menos tipos de especialidades en sus unidades.

13.33%

16.67%

20.00%

33.33%

46.67%

66.67%

70.00%

73.33%

Otros

Legal

PLD

Impuestos

Sistemas

Procesos

Cumplimiento

Contable



El no tener en las unidades de trabajo 3 o más especialidades entre diversos colaboradores dificultaría el

desarrollo de las auditorias con enfoque integrado porque quiere decir que un mismo auditor es el que está

evaluando desde diferentes perspectivas los riesgos y lo que se pretende es coordinar e inter-relacionar los

diferentes recursos de auditoria para llevar a cabo una evaluación holística de los riesgos.

Es muy difícil que un solo auditor domine varias especialidades en su totalidad, cada especialidad tiene

áreas diferentes que solo a través de muchos años de estudio y practica una misma persona puede llegar a

dominar, por lo ejemplo, el auditor de sistemas tiene varias áreas que debe estudiar y poner en práctica

para dominar este campo de especialidad, debe conocer sobre procesos de desarrollo de sistemas,

administración de bases de datos, seguridad informática, continuidad de negocio, fraude electrónico,

computación forense, entre otros.

Del 56.67% que indicó tener 2 o menos especialidades en su grupo de trabajo, el 52.94% manifestó

directamente no realizar auditorías integradas, lo cual bajo la estructura inferida por las especialidades en

su grupo de trabajo es una idea válida por lo mencionado en el párrafo anterior. Sin embargo, de la

participación total en la encuesta, fue un 36.67% el que afirmo no practicar auditorias con enfoque

integrado, pero un 55.56% de éstos, tiene planes en un futuro cercano de comenzar a implantarlas en sus

unidades de trabajo.

Razones, Beneficios y Problemas

A partir de las respuestas de los participantes que indicaron ejecutar auditorias integradas en sus unidades

de trabajo, se determinó que las razones que los llevaron a implantar auditorias con enfoque integrado son:

Cumplir con las prácticas emitidas por órganos que rigen la profesión de auditoria, por ejemplo, el

Instituto de Auditores Internos (IIA, por sus siglas en inglés) a nivel global (63.16%)

Beneficios percibidos (57.89%)

Sugerencia de los directivos de la empresa (31.58%)

Otras razones como las necesidades y visión conjunta del negocio (15.79%)

Existe un alto porcentaje interesado en cumplir las prácticas generalmente aceptadas a nivel global en el

campo de auditoria, sin embargo, casi un mismo número de participantes manifestó que los beneficios

percibidos forman parte de la razón que los llevo a ejecutar este tipo de auditorías.

Es importante mencionar que un buen porcentaje de participantes manifestó que los directivos de la

empresa sugirieron el enfoque integrado en las auditorías y es que posiblemente los directores miembros

del comité de auditoría se han dado cuenta que este es el enfoque que les brinda un panorama más

completo cuando se evalúan los procesos de negocio.

Por ejemplo, al momento de practicar una auditoria al proceso de otorgamiento de crédito en una

institución financiera, si el enfoque no es integrado, se presentan varias evaluaciones con resultados

diferentes, puede ser que desde una perspectiva operativa el proceso no tenga y que los riesgos estén

mitigados, sin embargo, desde una perspectiva tecnológica, la infraestructura que soporta este proceso

necesita controles para mitigar riesgos que impactan la confidencialidad e integridad de la información. Al

comité de auditoría precisamente le interesaría una evaluación global sobre este proceso para que no haya

confusiones en las conclusiones de las evaluaciones y conozcan el estado real del proceso.



La siguiente tabla muestra los beneficios que se perciben en las auditorias integradas.

Tabla 2. Beneficios de la auditoria integrada

Beneficio Porcentaje

Realiza una auditoria más completa y efectiva 78.95%

Ayuda a enfocarse en los riesgos claves 78.95%

Visión holística sobre los riesgos de la empresa 57.89%

Optimización de recursos 57.89%

La valoración de los riesgos es más adecuada 47.37%

Elimina duplicidad de esfuerzo en los auditores 36.84%

El enfoque en riesgos claves y realizar una auditoria más completa y efectiva son los principales

beneficios detectados. La visión holística sobre los riesgos de la empresa, el enfoque en los riesgos claves

junto con una adecuada valoración de los riesgos son también beneficios importantes que se esperan al

momento de ejecutar auditorias integradas, recordando que las auditorias hoy en día tienen que

desarrollarse con enfoque en riesgos de tal manera que se pueda agregar valor al negocio al apoyar las

metas y objetivos que se logran a través de los procesos de negocio.

A pesar que se perciben beneficios al realizar auditorías con enfoque integrado, los participantes

manifestaron haber presentado problemas al momento de ejecutar las auditorías, siendo el de mayor

relevancia la poca coordinación entre el equipo de auditores y la poca supervisión sobre la ejecución del

trabajo. Además, aunque se perciba como una ayuda de la auditoria integrada el enfoque en riesgos claves,

se detecta como problema al momento de implantarlo lo cual puede ser producto de los 2 principales

problemas antes mencionados.

Tabla 3. Problemas percibidos

Problema Porcentaje

Poca coordinación entre el equipo de auditores 47.37%

Poca supervisión sobre la ejecución del trabajo 42.11%

Carencia de enfoque en riesgos claves 42.11%

Valoración inadecuada de riesgos 31.58%

Diseño ineficiente de pruebas de auditoria 21.05%

Duplicidad de esfuerzo en los auditores 10.53%

Una valoración inadecuada de los riesgos ocasionaría también que el trabajo de auditoria no se enfoque en

los riesgos claves del proceso de negocio auditado, lo cual también lleva a un diseño ineficiente de las

pruebas de cumplimiento o sustantivas a ejecutar.

En muchas ocasiones, la falta de una metodología basada en mejores prácticas ocasiona que no haya

supervisión en el trabajo de auditoria, lo que conlleva a una poca coordinación de los recursos de auditoria

y un enfoque errado en el trabajo a realizar. Sin embargo, un 57.89% de los practicantes de auditorías

integradas manifestaron tener metodologías de trabajo propia en sus unidades para llevar a cabo este tipo

de auditorías, lo que representa un 36.67% de la población objeto de esta investigación.

Entre las preguntas relacionadas con una metodología de trabajo para auditorias integradas, se pudo

determinar que el marco de referencia COSO fue el único utilizado en un 100% de los casos, siendo

apoyado por COBIT en un 70%.



Fig. 4 Referencias para desarrollar metodologías

El 42.11% de profesionales que ejecutan auditorías integradas y que no cuentan con una metodología de

trabajo propia, manifestó que le gustaría contar con una basada en los marcos de referencia, estándares y/o

mejores prácticas que apoyan la labor de auditoria. El total de la población coincide en que COSO (100%)

es el que más apoya la labor de auditoria, seguido por COBIT (83.33%), ISO 27002, ISO 27005, SOX

(27.78% c/u), PCAOB e ITIL v3 (5.56% c/u).

Es comprensible que por su enfoque en control interno y y gestión de riesgos, los marcos de referencia

COSO y COBIT sean los que tienen un mayor nivel de aceptación en cuanto al apoyo que brindan los

marcos de referencia, estándares y mejores practicas al campo de auditoria.

Sin embargo, aunque tambien son los mas utilizados para desarrollar metodologias de trabajo para

auditorias integradas, COSO y COBIT representan limitaciones en su alcance y/o nivel de profundidad por

lo que deben complementarse para poder llegar abarcar la evaluación holística de riesgos empresariales

que pretende abarcar el enfoque integrado en las audiorías.

Cabe señalar, que los marcos de referencia COSO y COBIT estan diseñados para ser aplicados en

cualquier organizacion, que no están alineados a ninguna metodologia y que es cada empresa la que debe

seleccionar la metodologia que cumpla con sus requerimientos y objetivos.

Proceso de Auditoria Integrada

Las preguntas de investigacion relacionadas con el proceso de auditoria tuvieron como base las

caracteristicas tipicamente observables en este proceso segun ISACA y que se detallaron en la seccion

“TEORIA” del presente artículo.

Dado que la funcion de auditoria hoy en dia esta basada en riesgos, la siguiente tabla presenta quienes son

los responsables de identificar los riesgos en la evaluaciones con enfoque integrado tomando de referencia

el porcentaje de profesionales que respondieron ejecutar este tipo de auditorias.

10.00%

10.00%

20.00%

20.00%

70.00%

100.00%

ITIL v3

ISO 27005

SOX

ISO 27002

Cobit

COSO



Tabla 4. Responsables de identificar riesgos

Participantes Porcentaje

Supervisor y grupo de auditores 52.94%

Grupo de auditores 23.53%

La auditoría no es en base a riesgos 17.56%

Propietario de los diferentes procesos 5.88%

La tabla anterior nos muestra que hay 17.56% de profesionales que estan confundidos ya que por

definición la auditoria integrada se encarga de evaluar controles internos claves que para esto se necesitan

conocer los riesgos en los procesos de negocio. Hay un porcentaje del 5.88% que indica que son los

propietarios de los diferentes procesos quienes identifican los riesgos, lo cual es correcto cuando en una

organización se cuenta con un area de control interno o riesgos encargada de este proceso y asi la auditoria

valida la veracidad y gestión de los mismos.

Cuando las areas de control interno o riesgos no existen dentro de una institución, por lo general es la

auditoria la que lleva a cabo una identificación de riesgos para poder hacer una evaluacion de los procesos

de negocio. No es recomendable que el supervisor no participe de las actividades de identificacion de

riesgos ya que ellos son los de mayor expertis en la materia y pueden dar una acertada orientación al

grupo.

La identificacion de riesgos se lleva a cabo de la siguiente manera:

Cada auditor identifica los riesgos segun su area de expertis, para ahorrar tiempo se separan y cada

uno los identifica en su campo de especialización (29.41%).

Los auditores se coordinan para determinar en conjunto los riesgos del proceso de negocio en sus

diferentes componentes (29.41%).

Los auditores en conjunto con el supervisor identifican los riesgos en cada fase de la auditoria

(23.53%).

Los auditores se coordinan con los dueños de procesos para la identificacion, valoracion y

respuesta de los riesgos (11.76%).

No especificaron respuesta (5.88%).

Cuando cada auditor hace una identificacion de riesgos de forma separada, se pierde el enfoque integrado

y la auditoria se vuelve integral (ver subsección “Diferenciando el Enfoque Integrado”), se pierde la

comunicacion entre el grupo de auditores y se cae en una inadecuada valoracion de riesgos y duplicidad de

esfuerzo. Es buena practica y recomendada por el Instituto de Auditores Internos (IIA) a nivel global que

exista supervision al grupo, de tal manera que el supervisor deberia tambien participar en la etapa de

identificacion de riesgos.

Un 17.65% manifestó que en la etapa de identificacion de riesgos no realizan algun tipo de investigación

en las bases de datos de la empresa para determinar riesgos que han afectado en el pasado el proceso de

negocio auditado. Esta es una tarea importante para conocer aquellos planes de acción que se

implementaron para mitigar el riesgo del incidente que afecto el proceso de negocio auditado, en

ocasiones no se hace un análisis de causa raiz por lo que el auditor podria agregar valor al negocio

evaluando situaciones anteriores y recomendando controles faltantes.

El 82.35% cuenta con registros de incidentes que facilitan la busqueda de eventos en el pasado, entre ellos

se pueden mencionar bitácoras de incidentes, buzón de quejas y/o sugerencias de clientes, solicitudes de

cambios a los sistemas, entre otros.



El mecanismo más común para establecer una categorizacion de los riesgos identificados en el proceso de

negocio auditado es el enfoque cualitativo (82.35%), por su tipo (58.82%) y cuantitativamente (17.65%).

Un 5.88% indicó no categorizar los riesgos identificados.

La categorización de los riesgos es bien importante en el enfoque integrado de auditoria porque al

combinar varias disciplinas de auditoria, en el proceso de negocio se pueden detectar decenas o cientos de

riesgos que solo por medio de una correcta categorizacion, se podria valorar adecuadamente los riesgos y

enfocarse en los mas claves del proceso.

Al identificar los riesgos, un 94.12% asocia el control mitigante del mismo, de tal manera que con esta

acción esta evitando duplicar esfuerzos en las siguientes etapas de una auditoria. Recordemos que las

pruebas de auditoria se basan en los controles identificados a partir de los riesgos detectados por el

auditor, por lo que de aqui el auditor se puede hacer una idea de lo que va a evaluar por medio de pruebas

en la auditoria.

Baja el porcentaje a 88.24% de los profesionales que aprovechan la identificación de controles para

determinar si estos son claves relevantes o no para el proceso de negocio auditado. Sin embargo, solo el

35.29% indica que es el grupo de auditores en conjunto con el supervisor quienes determinan si el control

es clave relevante o no.

En el resto de los casos, los responsables de determinar si un control es clave relevante o no son el auditor

especializado en conjunto con el supervisor (23.53%), solo el supervisor o el propietario del proceso

(11.76% c/u) y solo el grupo de auditores o el auditor especializado (5.88% c/u). Existe un 5.88% que no

especifico respuesta.

Si combinamos los porcentajes de los casos en el que es una persona unilateralmente la que decide si el

control es clave relevante o no, tenemos un 35.28% bajo este esquema, el cual es alto para mantener el

enfoque integrado en las auditorias. El auditor especializado en conjunto con el supervisor siempre podrán

identificar los riesgos de una forma correcta, sin embargo, el supervisor debe estar pendiente si necesita el

apoyo del resto del equipo para obtener una valoración mas adecuada sobre la relevancia de los controles.

El enfoque integrado deberia permitir mantener la inter-comunicacion entre el equipo, de tal manera que

todos aprendan de las demas disciplinas, agreguen valor al momento de evaluar los riesgos identificados

aportando desde su campo de experiencia y sobretodo que logren que se perciba la auditoria como una

única evaluacion en conjunto.

En la siguiente tabla se aprecia cuales son los propósitos del equipo de auditoria en la determinación si un

control es clave relevante o no, siendo la disminución del alcance de las pruebas y enfoque del trabajo el

principal motivo.

Este dato va acorde a la teoria bajo la cual se desarrollo la investigación y es una de las caracteristicas

fundamentales del enfoque integrado ya que es imposible abarcar la totalidad de los riesgos y controles

detectados en el proceso de negocio auditado.



Tabla 5. Propósito de determinar relevancia de controles

Propósito Porcentaje

Para disminuir el alcance de las pruebas y enfocar

el trabajo en los controles clave relevantes

70.59%

Para realizar prueba de auditoria 58.82%

Lo exige la metodología que seguimos 5.88%

Para reflejar estadísticas en el alcance de la

auditoria

5.88%

Una vez que los controles se han detectados y el equipo de auditores ha determinado cuales son clave

relevantes, un alto porcentaje de la población indicó realizar una evaluación al diseño de los controles. Por

lo general, esta evaluación consiste practicamente en determinar si el control es apropiado para mitigar el

riesgo asociado sin haber hecho una prueba de efectividad sobre el mismo, se conoce quien es el

responsable de ejecutar el control, con qué periodicidad de aplica, si esta documentado y si cuentan con las

caracteristicas necesarias a criterio del evaluador para mitigar el riesgo.

Fig. 5 Evaluación del diseño de los controles

La manera más común de realizar una evaluación al diseño de los controles es a través del

involucramiento del supervisor y del grupo de auditores en su totalidad (53.84%). También, algunos optan

por que cada auditor especialista evalue el diseño de los controles que ellos mismos identificaron

(23.07%) o que el auditor especialista en conjunto con su supervisor realicen esta tarea (15.38%). Solo un

pequeño porcentaje indicó que solamente el grupo de auditores realiza la evaluación de los controles sin

apoyo del supervisor (7.69%).

Toda evaluación tiene un resultado, por lo que despues de evaluar los controles en su diseño, el paso mas

común a realizar es el de presentar la deficiencia de control identificada al dueño del control. La siguiente

tabla ilustra las actividades mas comunes a realizar despues de evaluar el diseño de los controles.

Si 70.59%

No 29.41%



Tabla 6. Actividades más comunes después de evaluar el diseño de los controles

Actividad Porcentaje

Presentar la deficiencia de control identificada al dueño

del control

82.35%

Preparar una prueba sustantiva o de cumplimiento para

evaluar la efectividad del control

29.41%

Documentar la debilidad como un hallazgo de auditoria sin

realizar prueba al control

23.53%

Sugerir alternativas de solución para mejorar el control,

inclusive diseñando y desarrollando uno nuevo

5.88%

Uno de los beneficios del enfoque integrado en las auditorias es la optimización de los recursos, por lo que

preparar una prueba sustantiva o de cumplimiento para un control que en su diseño presenta deficiencias

seria innecesario. Sin embargo, si el dueño del control no acepta la deficiencia del control, es

recomendable que se evalue la efectividad del control enfocado en las caracteristicas deficientes en su

diseño.

Documentar la debilidad del control como un hallazgo de auditoria sin antes presentarlo al dueño del

control y tener un consenso sobre el estado del mismo, podria ocasionar que al momento de presentar el

informe el auditado dueño del proceso no acepte las recomendaciones ni el hallazgo relacionado, incluso

podria argumentar que el control no fue probado y no se conoce su efectividad. Esto podria afectar la

imagen y profesionalidad del equipo de auditores ya que es parte de su trabajo tener soportes sobre todo lo

reflejado en su informe.

Es importante señalar que también se determina si los controles claves estan siendo respaldados por el

sistema de TI (76.47%) y que el principal actor en esta actividad es el auditor de sistemas en conjunto con

el supervisor (41.18%). Otras opciones son que solo el auditor de sistemas determine el respaldo del

sistema de TI en los controles claves (29.41%), que lo determine el grupo de auditores, el grupo de

auditores en conjunto con el supervisor o a discreción de un auditor operativo con su supervisor (5.88%

c/u). Un pequeño porcentaje manifestó no realizar esta actividad (11.76%).

Hay que recordar que el auditor de sistemas pertenece al grupo de auditores que participan en la auditoria

integrada, por lo que si combinamos los porcentajes en los que aparece el auditor de sistemas tendriamos

un 82.35% de presencia y solo un 5.88% en el que no esta presente aunque en la unidad de auditoria se

cuente con un auditor de sistemas. El trabajo de supervisión es importante en cada etapa de la auditoria por

lo que siempre es recomendable siguiendo las normas emitidas por el Instituto de Auditores Internos (IIA,

por sus siglas en ingles) que el supervisor participe en esta actividad.

Como toda evaluación basada en riesgos, es necesario validar la efectividad de los controles de el proceso

auditado, siendo la manera mas comun de hacerlo por medio del resultado de las pruebas sustantivas, de

cumplimiento y evaluación del diseño de controles (70.59%). También, existen profesionales que evaluan

la efectividad de los controles solo por medio de pruebas sustantivas y de cumplimiento (23.53%) y otros

que se sienten comodos con los resultados de la evaluación del diseño de los controles (5.88%).

Acorde a la teoria, el enfoque integrado en las auditorias deberia permitir enfocar la validación de la

efectividad de los controles en los que son clave relevantes partiendo de los riesgos mas significativos

detectados en el proceso auditado, sin embargo, un alto porcentaje indica que prefiere realizar validación

de efectividad a todos los controles identificados y no solo a los que son clave relevantes.



Fig. 6 Validación de efectividad a los controles

La decisión sobre cuales controles deben ser o no evaluados es tomada por los siguientes grupos:

Grupo de auditores y supervisor (50.00%).

Auditor especialista y supervisor (31.25%).

Auditor especialista (6.25%).

Grupo de auditores (6.25%).

La administración (6.25%).

En las auditorias integradas es muy importante que sea el grupo de auditores en conjunto con el supervisor

los que determinen los controles que deben ser evaluados tomando en cuenta si los mismos son claves

relevantes o no. No es factible ni recomendable evaluar todos los controles identificados en las auditorias

integradas, por ejemplo, algunos pueden caer dentro del apetito de riesgo del negocio por lo que validar la

efectividad de estos posiblemente sea una práctica que no optimice los recursos de auditoria.

Al momento de elaborar el informe de una auditoria integrada, se debe considerar preparar un solo

informe de tal manera que se aprecie la realización de una sola auditoria y no varias. En los resultados de

la investigación, solo un 35.29% manifestó que el grupo de auditores elabora en conjunto un único

informe y un porcentaje igual de la población indicó que cada auditor prepara una parte del informe y

después el supervisor lo consolida en uno solo.

Si en todas las etapas previas a la elaboración del informe el enfoque integrado se ha mantenido, se podría

consolidar las 2 maneras de elaborar el informe para tener un 70.58% bajo la teoria en la que se desarrollo

esta investigación. Sin embargo, si no se mantuvo la inter-relacion de los recursos de auditoria para

mantener el enfoque integrado, al consolidar las partes del informe elaboradas por cada auditor, caeriamos

bajo un informe integral y no integrado.

Emitir múltiples informes dependiendo de las disciplinas de auditoria participantes (17.65%) o emitir un

solo informe pero con secciones diferentes que obedecen a cada disciplina de auditoria participante

(11.76%) daria la impresión que la auditoria fue integral y no integrada, 2 conceptos muy diferentes y que

en la sección “Diferenciando el Enfoque Integrado” se muestra como ver la diferencia entre ellos.

Una idea en común encontrada en los informes de auditorias integradas es que en éstos se reflejan los

riesgos y debilidades de control encontrados (94.12%), algo fundamental y esencial en las auditorias de

Todos los

controles

64.71%

Solo los

clave

relevante

35.29%



hoy en día ya que las mismas son basadas en riesgos. No mostrar los riesgos y debilidades de control seria

como practicar auditorias de cumplimiento simples y antiguas que en casos son necesarios realizar por el

ambiente y entorno del negocio.

CONCLUSIONES

De acuerdo a los resultados obtenidos, la mitad de la población tiene una estructura idónea para realizar

auditorías integradas ya que se encuentran en sus departamentos profesionales especializados en diferentes

áreas. La otra mitad de la población, aunque manifiesta realizar auditorías integradas, no posee los

recursos humanos necesarios para practicar el enfoque integrado ya que se valen de profesionales con

diferentes tipos de experiencia para practicar el enfoque integrado, lo cual no es muy recomendable

practicar.

Uno de los beneficios del enfoque integrado es que le permite al equipo de auditores reducir las pruebas de

efectividad a los controles, sin embargo, en varias unidades de auditoria no se están optimizando los

recursos al efectuar pruebas a todos los controles identificados y no solo los claves relevantes a como

pretende el enfoque integrado. En los resultados se aprecia un contraste ya que en algún momento los

profesionales de auditoria indicaron determinar la relevancia de los controles para reducir el alcance de las

pruebas de auditoria.

Algunas actividades identificadas no están alineadas a la teoría de auditoria integrada ya que se observa

que algunas son más de un enfoque integral y no integrado ocasionando que no haya una valoración

adecuada de los riesgos y que falte la coordinación e integración necesaria de los recursos de auditoria.

A partir de los problemas identificados y las practicas analizadas en el proceso de auditoria integrada, se

concluye que para mantener el enfoque integrado en las auditorias hay que ir más allá de la combinación

de las disciplinas de auditoria para evaluar controles internos claves, por lo que se propone el siguiente

concepto de auditoria integrada: “Es el proceso en el cual se inter-relacionan los recursos de las

diferentes disciplinas de auditoría para evaluar holísticamente los riesgos y controles claves de un

proceso de negocio”.

Se determina que hay un interés común entre los profesionales de auditoria en metodologías de trabajo

para auditorias con enfoque integrado que sean desarrolladas en base a los marcos de referencia,

estándares y mejores prácticas que apoyan la labor de auditoria y que sea generalmente avalada por la

comunidad de auditores.

AGRADECIMIENTOS

Al Instituto de Auditores Internos de Nicaragua (IAIN) por su apoyo en la recopilación de datos y difusión

de la encuesta por medio de correos masivos a la membresía, redes sociales y sitio web.

También, al Sr. Elías Martínez, Presidente de la Junta Directiva 2013 – 2014 del IAIN por aportar su

conocimiento y experiencia en el tema de auditoria y fungir como primer revisor experto a los resultados

de la investigación.

A todos esos profesionales que hicieron posible esta investigación, aportando tiempo y conocimiento para

conocer el estado del arte de las auditorias integradas.}



REFERENCIAS [1] Ashit, D. (2012). An Integrated Approach to Process-based IT Audit Using Quality and Information

Security Management Systems. New York, USA: eDelta Consulting, Inc.

[2] Chaney, C., & Kim, G. (2007). The Integrated Auditor. Internal Auditor. Florida, USA. Internal

Auditor Magazine, disponible en: http://www.theiia.org/intAuditor/feature-articles/2007/ [Consulta: 12 de

Julio de 2012]

[3] Helpert, A., & Lazarine, J. (2009). Making Integrated Audits Reality. Internal Auditor. Florida, USA.

Internal Auditor Magazine, disponible en: http://www.theiia.org/intAuditor/feature-articles/2009/

[Consulta: 12 de Julio de 2012]

[4] ISACA, (2011). Manual de Preparación para el Examen de Certificación del Auditor de SI. Illinois,

USA: ISACA.

[5] Ramamoorti, S., (2012). Internal Auditing: History, Evolution, and Prospects. Florida, USA: The

Institute of Internals Auditors Research Foundation.

[6] Reinhard, J., Ames, B., Robertson, A., Thakkar, R., Pulsipher, R., & Bentley, D., (2012). Integrated

Auditing – Practice Guide. Florida, USA: The Institute of Internals Auditors.

BIOGRAFIA

Davis A. Porras Rodríguez, CISA, CISM, es Ingeniero en Sistemas y Especialista en

Administración TIC docente de la Facultad de Ingeniería de la Universidad Americana

(UAM) y el Oficial de Riesgos de Seguridad de la Información de Accedo

Technologies, una empresa de externalización de servicios BPO/ITES en Nicaragua.

En los últimos 5 años, fue el auditor de sistemas de información de una empresa

privada del sector financiero de Nicaragua. Actualmente, se encuentra culminando sus

estudios de master en gestión de tecnologías de información y comunicación con

énfasis en tecnologías de información en la Universidad Nacional de Ingeniería (UNI).

Instituto de Auditores Internos de Nicaragua (IAIN) - Capitulo 256 del Instituto

de Auditores Internos a nivel Global -, organización profesional dedicada a la

promoción y desarrollo de la práctica de auditoria interna en Nicaragua que promueve

la asistencia y participación de sus miembros a las conferencias y debates sobre el

desarrollo profesional tanto a nivel nacional como internacional.

Documents

AUDITORÍAS INTEGRADAS: SITUACIÓN ACTUAL EN ...En 2012, un consultor independiente presenta en la conferencia de auditoría, control y seguridad de computación (CACS, por sus siglas